Upload
others
View
2
Download
0
Embed Size (px)
Citation preview
DIN ISO/IEC 27001 Systematisches Management der
Informationssicherheit
30 cronos info 35 · Dezember 2014IT-Strategie
Die Bundesnetzagentur
(BNetzA) plant, Netzbe-
treiber zum Betrieb eines
sicheren Energieversorgungs-
netzes für Strom und Gas auf
Basis § 11 Abs. 1a EnWG zu
verpflichten. In diesem Zusam-
menhang rückt der Schutz der
Telekommunikations- und elek-
tronischen Datenverarbeitungs-
systeme zur Netzsteuerung ge-
genüber möglichen Bedrohun-
gen in den Fokus. Die BNetzA
hat hierzu in Abstimmung mit
dem Bundesamt für Sicherheit
in der Informationstechnik (BSI)
einen Katalog von Sicherheitsan-
forderungen veröffentlicht und
zur Konsultation gestellt.
Kernforderungen dieses IT-Si-
cherheitskatalogs sind:
die Einführung und Etablie-
rung eines Informationssicher-
heitsmanagementsystems
(ISMS) gemäß DIN ISO/IEC
27001 (ISO 27001)
die Zertifizierung dieses Sys-
tems durch eine unabhängige,
hierfür zugelassene Stelle
innerhalb eines Jahres nach
Inkrafttreten des IT-Sicher-
heitskataloges
die Benennung eines IT-Sicher-
heitsbeauftragten als An-
sprechpartner für die BNetzA
innerhalb von zwei Mona-
ten nach Inkrafttreten des
IT-Sicherheitskataloges
Der IT-Sicherheitskatalog soll
Ende 2014 verbindlich in Kraft
treten und ist dann unabhängig
von der Größe oder Anzahl der
angeschlossenen Kunden von al-
len Netzbetreibern umzusetzen.
Vor diesem Hintergrund besteht
bei allen Netzbetreibern akuter
Handlungsbedarf hinsichtlich
Aufbau und Zertifizierung eines
ISMS.
Aufbau eines ISMS für einen
Netzbetreiber
Ein ISMS soll den Schutz der
Informationen eines Netzbetrei-
bers sicherstellen.
Als Informationen werden im
Sinne von ISO 27001 nicht nur
elektronisch in IT-Systemen
gespeicherte Daten betrachtet.
Vielmehr geht es unabhängig
von der Erscheinungsform
sowie Art der Nutzung und
Speicherung um alle Informa-
tionen, die einen Wert für den
Netzbetreiber darstellen. Somit
umfasst der Begriff „Informa-
tionssicherheit“ mehr Aspekte
als die reine „IT-Sicherheit“,
ist aber enger gefasst als das
allgemeine Verständnis von Si-
cherheit, da Netzbetreiber auch
noch über andere zu schützende
Werte (z. B. die Netze selbst)
verfügen (Abbildung 1).
Wesentliche Schutzziele gemäß
ISO 27001 sind die Vertrau-
lichkeit, die Integrität und die
Verfügbarkeit der Informationen
(Abbildung 2).
Ein ISMS für einen Netzbetrei-
ber ist eine Aufstellung von Ver-
fahren und Regeln, welche dazu
dienen, die Informationssicher-
heit dauerhaft
zu definieren
umzusetzen
zu überwachen und
fortlaufend zu verbessern
Ein ISMS ist somit nicht statisch,
sondern muss im Sinne des
PDCA-Ansatzes von Deming in
einem Regelprozess kontinuier-
lich angepasst und verbessert
werden (Abbildung 3):
Die ISO 27001 legt allgemeine
Mindestanforderungen für die
Ausgestaltung eines ISMS so-
wie Maßnahmenziele und Maß-
nahmen für das Management
der Informationssicherheit fest.
Zur Umsetzung dieser Maßnah-
men werden in der DIN ISO/
IEC 27002 branchenunabhängi-
ge Anleitungen – basierend auf
Best Practices – definiert. Diese
werden in der DIN SPEC 27009
im Sinne eines Leitfadens für
das Informationssicherheitsma-
nagement von Steuerungssys-
temen der Energieversorgung
branchenspezifisch ergänzt und
konkretisiert.
Die konkrete Ausgestaltung
eines ISMS und die Ange-
messenheit der Maßnahmen
Abb. 2: Wesentliche Schutzziele für Informationen
Abb. 3: Lebenszyklus eines ISMS
Abb. 1: IT-Sicherheit vs. Informationssicherheit vs. Sicherheit
• SCHUTZ VOR UNBERECHTIGTER
VERÄNDERUNG, VERLUST ODER ZERSTÖRUNG
INTEGRITÄT
• SCHUTZ DER BERECHTIGTEN
ZUGÄNGLICHKEIT UND VERWENDBARKEIT
VERFÜGBARKEIT
• SCHUTZ VOR UNBERECHTIGTEM
ZUGRIFF VERTRAULICHKEIT
ISMS planen / definieren
PLAN
ISMS umsetzen / betreiben
ISMS überwachen /
überprüfen
ISMS instand halten /
verbessern DO
CHECK
ACT
Sicherheit
Informations-
sicherheit
IT-Sicherheit
31cronos info 35 · Dezember 2014 IT-Strategie
sind jedoch vom individuellen
Schutzbedarf des Netzbetrei-
bers abhängig. Für den Aufbau eines ISMS empfiehlt cronos die Vorgehensweise wie in Abb. 4 dargestellt.
Wie dargestellt, sollte die Vorbe-reitung für die Zertifizierung be-reits beim Aufbau des ISMS mit berücksichtigt werden.
Zertifizierung eines ISMS für
einen Netzbetreiber
Aufgrund der Forderung des IT-Sicherheitskataloges der BNetzA stellt sich für Netzbe-treiber zukünftig nicht mehr die Frage, ob das ISMS nach ISO 27001 zertifiziert werden soll oder nicht. Stattdessen verblei-ben primär zwei Fragen:
1. Welches von der Deutschen Akkreditierungsstelle (DAkkS) akkreditierte Unternehmen soll die Zertifizierung durch-führen?
2. Wie soll das Vorgehen zur Durchführung der Zertifizie-rung gestaltet werden?
Auswahl des Zertifizierers
Stand Oktober 2014 sind insge-samt 17 Unternehmen von der DAkkS für die Zertifizierung von ISMS gemäß ISO 27001 akkre-ditiert (siehe Abbildung 5).
Wie bei jeder zu beschaffenden Dienstleistung relevanter Grö-ßenordnung lohnt es sich, den Zertifizierer systematisch auszu-wählen, zumal man bis zum ers-ten Wiederholungsaudit – also mindestens drei Jahre – vertrag-lich an ihn gebunden ist.
Wir empfehlen folgende drei-stufige Vorgehensweise:
1) Screening der Zertifizierer: Bildung einer Shortlist von vier bis fünf Zertifizierern auf Basis einer Bewertung öf-fentlich verfügbarer Informa-tionen über den Zertifizierer
2) Bewertung der Angebote der Zertifizierer: Auswahl von zwei bis drei Zertifizierern auf Basis einer
Abb. 5: Bei der DAkkS akkreditierte Unternehmen für die Zertifizierung eines ISMS nach ISO 27001 (Stand 16.10.2014)
Abb. 4: Vorgehensweise zum Aufbau eines ISMS für Netzbetreiber
Definition der Maßnahmen für die Beseitigung der identifizierten Schwachstellen sowie für das
Management der identifizierten Risiken
Ergebnis: Erforderliche Maßnahmen sind definiert,
bewertet, priorisiert und geplant
Definition des Geltungsbereiches (Scope) des ISMS, der Informations-sicherheitspolitik und Benennung des
ISMS-Beauftragten
Ergebnis: Grundlagen für die Ausgestaltung des ISMS sind definiert
und mit der Unternehmensleitung abgestimmt
Vorbereitung auf die Zertifizierung des ISMS und Planung der Durchführung des
Zertifizierungsaudits
Ergebnis: Zertifizierungsaudit ist geplant und relevante
Mitarbeiter sind auf das Zertifizierungsaudit vorbereitet
Definition der ISMS-Grundlagen
Durchführung der Ist-Analyse
Definition der Maßnahmen
Umsetzung der Maßnahmen
Vorbereitung der Zertifizierung
Interviews zur SWOT-Analyse der für die Netzsteuerung relevanten IT- und TK-Assets, der Dokumentation
und Richtlinien sowie der Bedrohungen und deren
Auswirkungen Ergebnis: Analyse der Stärken,
Schwächen, Chancen und Risiken der ITK-Assets
Schrittweise Umsetzung derdefinierten Maßnahmen für die Einführung des ISMS und Kontrolle
der Wirksamkeit der umgesetzten Maßnahmen z.B.
im Rahmen eines Voraudits Ergebnis: Erforderliche Maßnahmen
zur Etablierung des ISMS wurden systematisch umgesetzt
Unternehmen Standort
Comgroup GmbH Bad Mergentheim
DEKRA Certification GmbH Stuttgart
Deloitte Certification Services GmbH Düsseldorf
DeuZert GmbH Deutsche Zertifizierung in Bildung
und Wirtschaft
Wildau b. Berlin
DQS GmbH – Deutsche Gesellschaft zur
Zertifizierung von Managementsystemen
Frankfurt am Main
infaz – Institut für Auditierung und
Zertifizierung GmbH
Neuss
KPMG Cert GmbH Umweltgutachter organisation Köln
PERSICON Cert AG Berlin
Technischer Überwachungs-Verein Thüringen e. V.
Zertifizierungsstelle für Systeme und Personal
Jena
TÜV AUSTRIA Deutschland GmbH Gauting
TÜV InterCert GmbH Group of TÜV Saarland Bonn
TÜV NORD CERT GmbH Essen
TÜV Rheinland Cert GmbH Köln
TÜV Saarland e.V. TÜV SAAR CERT Sulzbach
TÜV SÜD Management Service GmbH München
TÜV-Zertifizierungsstelle der TÜV Technische Über-
wachung Hessen GmbH
Darmstadt
UIMCert GmbH Wuppertal
32 cronos info 35 · Dezember 2014IT-Strategie
Bewertung des schriftlich angeforderten Angebots für die Durchführung der Zertifi-zierung
3) Präsentation der Angebote durch die Zertifizierer: Auswahl eines Zertifizierers auf Basis einer Bewertung der persönlichen Präsenta-tion der Angebote durch die Zertifizierer
In allen drei Schritten sollten Bewertungskriterien definiert und ggf. gewichtet werden, um die Auswahl des Zertifizierers möglichst objektiv und nach-vollziehbar zu gestalten. Als wesentliche Kriterien sollten ne-ben der Qualität des Angebots unbedingt die Kompetenzen der angebotenen Auditoren in der Energieversorgungsbranche be-rücksichtigt werden. Im Sinne der Akzeptanz der Vorgehens-weise und Auswahl des Zertifi-zierers sollte zudem mindestens beim dritten Schritt auch das oberste Management eingebun-den werden.
Die Auswahl des Zertifizierers kann sinnvollerweise frühestens nach der Festlegung der ISMS-Grundlagen erfolgen. Im Idealfall sollte sie aber aus den nachfol-gend dargelegten Gründen be-reits vor der Umsetzung der Maß-nahmen abgeschlossen sein.
Vorgehensweise der Zertifi-
zierung
Der Zertifizierer prüft die Kon-formität des ISMS mit ISO 27001 durch eine Unterlagen-prüfung sowie durch ein Vor-Ort-Audit. Die Vorgehensweise lässt sich zusammenfassend wie in Abbildung 6 darstellen.
Gegenstand der Prüfung der ISMS-Unterlagen sind sämtli-che Dokumente zur Definition und zum Status der Umsetzung des ISMS wie die Definition des Anwendungsbereiches und des Scopes des ISMS, die ISMS-Leitlinie, die Definition des Ver-fahrens für das Risikomanage-ment, Korrekturmaßnahmen etc. Die Prüfung dieser Unterla-gen erfolgt i. d. R. innerhalb von sechs Wochen durch die Audi-toren des beauftragten Zertifi-zierers. Die Ergebnisse der Un-terlagenprüfung können Korrek-turmaßnahmen am ISMS und seiner Umsetzung erfordern. Daher sollten diese Ergebnisse möglichst frühzeitig vorliegen, damit sie noch rechtzeitig in die Umsetzung der Maßnahmen für die Etablierung des ISMS mit einfließen können.
Bevor das Vor-Ort-Audit durch die externen Auditoren erfolgt, empfiehlt es sich, die Einhaltung der Vorgaben des ISMS im Rah-men eines internen Audits zu prüfen. Hierdurch können einer-seits größere Schwachstellen noch selbst identifiziert und be-seitigt werden. Darüber hinaus werden die Verantwortlichen für die Umsetzung des ISMS be-reits mit der Situation eines Au-dits konfrontiert und somit auf das externe Audit vorbereitet.
Die Durchführung des Vor-Ort-Audits durch die externen Auditoren erfolgt je nach Kom-plexität des Netzbetreibers an einem oder mehreren Tagen. Die im Rahmen des Vor-Ort-Audits durchzuführenden Ge-spräche werden hierzu vorab in einem Auditplan fixiert. Welche
Gespräche geführt werden, entscheiden die externen Audi-toren eigenverantwortlich auf Basis der eingereichten Unterla-gen zum ISMS.
Die Ergebnisse des Audits werden durch die Auditoren in einem schriftlichen Auditbericht dokumentiert. Diesen Auditbe-richt erhalten sowohl der Netz-betreiber als auch die Zertifizie-rungsstelle des Zertifizierers.
Falls die Konformität des ISMS mit ISO 27001 festgestellt werden kann, erfolgt die Aus-stellung und Zusendung des Zertifikats durch den Zertifizie-rer an den Netzbetreiber. Falls die Konformität mit ISO 27001 nicht festgestellt werden kann, ist eine Wiederholung des Au-dits erforderlich, sobald die im Auditbericht dokumentierten Abweichungen beseitigt wur-den. Denn jeder Netzbetreiber wird in Zukunft ein Zertifikat benötigen.
Fazit: Der Aufwand für den initialen Aufbau und die Eta-blierung eines ISMS nach ISO 27001 sollte nicht unter-schätzt werden. Die BNetzA hat im Entwurf des IT-Sicher-heitskataloges vorgesehen, dass allen Netzbetreibern hierfür ein Zeitraum von ei-nem Jahr zur Verfügung steht. Dieser ambitionierte Zeitraum wurde u. a. durch den VKU im Rahmen der Konsultation des IT-Sicherheitskatalogs kritisch hinterfragt. Es ist sehr wahrscheinlich, dass der Um-setzungszeitraum seitens der BNetzA noch verlängert wird. Wir empfehlen dennoch, früh-
zeitig mit dem Aufbau des ISMS zu beginnen. Auf Basis unser umfassenden Kenntnis-se der Energieversorgungs-branche sowie der langjähri-gen Erfahrung beim Aufbau von Managementsystemen unterstützen wir Sie hierbei gerne. Sprechen Sie uns an!
Abb. 6: Ablauf einer Zertfizierung
Dr. Joachim Cramer
Jahrgang: 1963
Studienabschluss/Titel: Dr. rer. nat.,
Diplom-Informatiker
Studium: Studium der Informatik
an der Universität Dortmund
Werdegang: 1988 – 1998 Entwick-
lungsleiter und QM-Beauftragter
in einem mittelständischen
Softwarehaus; 1994 – 2001: Lei-
ter des Arbeitskreises Software-
Qualitätsmanagement im BVIT/
BITKOM; 1998 – 2009 Leiter
der Organisationseinheiten für
IT-Strategie, IT-Controlling, IT-
Portfolio-Management, IT-Infra-
struktur und IT-Sicherheit in der
CIO-Funktion des RWE-Konzerns;
seit 2009 cronos Unternehmens-
beratung; Mitglied der Geschäfts-
leitung, verantwortlich für die
IT-Management-Beratung
Tätigkeitsschwerpunkte:
Sämtliche Themenstellungen der
IT-Management-Beratung
Aktuelle Projekte:
- Entwicklung von IT-Strategien
- Auswahl von IT-Dienstleistern
- Aufbau von ISMS
Prüfung ISMS-Unterlagen
Vorbereitung Vor-Ort-Audit
Durchführung Vor-Ort-Audit
Erstellung Auditbericht
Ausstellung Zertifikat
33cronos info 35 · Dezember 2014 IT-Strategie